%20%E3%81%8B%E3%82%89%20LAN%20-%202%20%E7%95%AA%E7%9B%AE%E3%81%AE%20VPN%20%E3%82%92%E7%B5%8C%E7%94%B1%E3%81%97%E3%81%A6%202%20%E7%95%AA%E7%9B%AE%E3%81%AE%20LAN%20%E3%81%B8.png)
IPSEC VPN によってリモート Cisco ASA にリンクされているサイトが 2 つあります。
サイト1 1.5Mb T1接続 Cisco(1) 2841
サイト 2 1.5Mb T1 接続 Cisco 2841
加えて:
サイト 1 には、Cisco(1) 2841 と同じ LAN に接続する 2 番目の WAN 3Mb ボンディング T1 接続 Cisco 5510 があります。
基本的に、Cisco ASA 5510 経由で接続するリモート アクセス (VPN) ユーザーは、サイト 2 の終端にあるサービスにアクセスする必要があります。これは、サービスの販売方法によるものです。Cisco 2841 ルータは当社の管理下になく、ローカル LAN VLAN 1 IP アドレス 10.20.0.0/24 からの接続を許可するように設定されています。私の考えは、リモート ユーザーから Cisco ASA 経由でサイト 2 に送信されるすべてのトラフィックが、サイト 1 とサイト 2 間の VPN を経由するようにすることです。その結果、サイト 2 に到達するすべてのトラフィックがサイト 1 経由で送信されます。
この設定方法について、多くの情報を見つけるのに苦労しています。まず、私が実現しようとしていることが実現可能であることを誰か確認してもらえますか? 次に、以下の設定を修正するのを手伝ってくれる人、またはそのような設定の例を教えてくれる人はいますか?
どうもありがとう。
interface Ethernet0/0
nameif outside
security-level 0
ip address 7.7.7.19 255.255.255.240
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.20.0.249 255.255.255.0
object-group network group-inside-vpnclient
description All inside networks accessible to vpn clients
network-object 10.20.0.0 255.255.255.0
network-object 10.20.1.0 255.255.255.0
object-group network group-adp-network
description ADP IP Address or network accessible to vpn clients
network-object 207.207.207.173 255.255.255.255
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any source-quench
access-list outside_access_in extended permit icmp any any unreachable
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq smtp
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq https
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq pop3
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq www
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq www
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq https
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq 5721
access-list acl-vpnclient extended permit ip object-group group-inside-vpnclient any
access-list acl-vpnclient extended permit ip object-group group-inside-vpnclient object-group group-adp-network
access-list acl-vpnclient extended permit ip object-group group-adp-network object-group group-inside-vpnclient
access-list PinesFLVPNTunnel_splitTunnelAcl standard permit 10.20.0.0 255.255.255.0
access-list inside_nat0_outbound_1 extended permit ip 10.20.0.0 255.255.255.0 10.20.1.0 255.255.255.0
access-list inside_nat0_outbound_1 extended permit ip 10.20.0.0 255.255.255.0 host 207.207.207.173
access-list inside_nat0_outbound_1 extended permit ip 10.20.1.0 255.255.255.0 host 207.207.207.173
ip local pool VPNPool 10.20.1.100-10.20.1.200 mask 255.255.255.0
route outside 0.0.0.0 0.0.0.0 7.7.7.17 1
route inside 207.207.207.173 255.255.255.255 10.20.0.3 1
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 20 set security-association lifetime seconds 288000
crypto dynamic-map outside_dyn_map 20 set security-association lifetime kilobytes 4608000
crypto dynamic-map outside_dyn_map 20 set reverse-route
crypto map outside_map 20 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto map outside_dyn_map 20 match address acl-vpnclient
crypto map outside_dyn_map 20 set security-association lifetime seconds 28800
crypto map outside_dyn_map 20 set security-association lifetime kilobytes 4608000
crypto isakmp identity address
crypto isakmp enable outside
crypto isakmp policy 20
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
group-policy YeahRightflVPNTunnel internal
group-policy YeahRightflVPNTunnel attributes
wins-server value 10.20.0.9
dns-server value 10.20.0.9
vpn-tunnel-protocol IPSec
password-storage disable
pfs disable
split-tunnel-policy tunnelspecified
split-tunnel-network-list value acl-vpnclient
default-domain value YeahRight.com
group-policy YeahRightFLVPNTunnel internal
group-policy YeahRightFLVPNTunnel attributes
wins-server value 10.20.0.9
dns-server value 10.20.0.9 10.20.0.7
vpn-tunnel-protocol IPSec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value YeahRightFLVPNTunnel_splitTunnelAcl
default-domain value yeahright.com
tunnel-group YeahRightFLVPN type remote-access
tunnel-group YeahRightFLVPN general-attributes
address-pool VPNPool
tunnel-group YeahRightFLVPNTunnel type remote-access
tunnel-group YeahRightFLVPNTunnel general-attributes
address-pool VPNPool
authentication-server-group WinRadius
default-group-policy YeahRightFLVPNTunnel
tunnel-group YeahRightFLVPNTunnel ipsec-attributes
pre-shared-key *
答え1
確かに、このシナリオは実現できます。これは「ヘアピニング」と呼ばれます。次のことが必要です: - リモート アクセス ユーザーのプールを、暗号マップに関連付けられた暗号アクセス リストの一部となるように設定 - プールを含めるように NAT-EXEMPT または NO-NAT アクセス リストを設定
最も重要なこと:
- Cisco ASA で同じインターフェイスにトラフィックが流入および流出することを許可するには、このコマンド「same-security-traffic permit intra-interface」を設定します。
- L2L トンネル暗号アクセス リストは両方のピアでミラーリングする必要があるため、トンネル ピア (ルータ) を設定して、暗号アクセス リストにリモート アクセス ユーザー プールを含めます。
- リモートアクセスユーザーがスプリットトンネルを使用する場合は、リモートピア(ルータ)の背後にあるサブネットがスプリットトンネルアクセスリストに含まれていることを確認する必要があります。
これを参照してください:https://supportforums.cisco.com/message/3864922
お役に立てれば。
マシャル
答え2
詳細情報とスキーマを追加してください。非常に役立ちます。サイト 2 の IP はわかりません。サイト 1 には 10.20.0.0/24 があり、VPN プールは 10.21.1.0/24 であるため、グループ group-inside-vpnclient に欠落があるようです。サイト 1 ルーターを経由したサイト 2 ネットワーク IP のルートも必要です。サイト 2 でアクセスしようとしている IP が 207.207.207.173 である場合は、さらに詳しく説明する必要があります。